パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

法務省と複数の県の電子申請用ソフトに脆弱性」記事へのコメント

  • 大分県のサイトに飛ぶと自己証明書でSSLを要求してくるんだが・・・
    CAがwww.egov-oita.pref.oita.lg.jpになっとりますが…
    これはこれで問題じゃないのか?
    • 高木さんのblog [takagi-hiromitsu.jp]でも話題になっていますが、自治体の"オレオレ証明書"ですね。

      # ここらへんが酷いので、銀行がとばっちりを受けると

      どこぞの
      --
      M-FalconSky (暑いか寒い)
      • 大分県はオレオレ証明書じゃなくてLGPKI発行の証明書ですよ。 # 適当に言う前に確認してみたら?
        • 現状では、普通のユーザがLGPKI発行の証明書とオレオレ証明書を安全に区別するのは難しい。
          ということで、LGPKI発行の証明書もオレオレ証明書扱いしても良いのじゃないかな。
          • by akudaikan (26016) on 2005年04月21日 17時47分 (#726130)
            実は、LGPKI証明書がオレオレで(まだそんな言葉はなかったが)危険だということを数年前に指摘したことがある。
            だから、地方自治情報センターは問題点を分かっているはず。

            その際の彼らの言い分は、 Ryo.F氏のコメント [srad.jp]のように「フィンガープリントを複数のサイトで公開すれば安全」だった。
            で、私がACのコメント [srad.jp]のような批判をすると、「そこまでできるならSSLも破れる」と言っていた。

            そして、LGPKI証明書の主要ブラウザへの組み込みを要求するも、「監査にコストが膨大すぎる(本当なのか?)」という理由で断られ、官報への掲載も「自分のところの広報でしろ」、最終的に「LGPKI証明書とフィンガープリントを民間証明書のもとで安全に配布する」ならしても良いという返事だった。
            でも、問題のページ [lgpki.jp]は未だにhttp://のままなんだけどな。どうなってんの。
            # IDでいいか。
            親コメント
            • >「そこまでできるならSSLも破れる」と言っていた。

              んなアホな。世界中で誰もSSLを敗れてないから使われてるのに。
              というかだから政府も使っているわけなのに。

              いやあ、LASDECってほんと無責任集団ですな。
              どうしてそんなんで飯が食えるんだ。
            • > でも、問題のページ [lgpki.jp]は未だにhttp://のままなんだけどな。どうなってんの。

              古いバージョンのJRE等も問題ですが、これも大問題ですよね。
              偽の証明書をつかまされて、ルート証明書としてインストールしたりしたら大変ですし。

              偽のルート証明書をつかまされる問題に詳しくない人には この掲示板 [atmarkit.co.jp]と

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

処理中...